Política de Privacidad
1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos – RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la normativa derivada de la Directiva 2002/58/CE (ePrivacy), la LSSI-CE (cuando resulte aplicable para cookies/comunicaciones electrónicas), el Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial) cuando proceda y demás normativa europea y española aplicable, el responsable del tratamiento es:
Empresa: HERMANOS VARELA LUIS SL
CIF: B67073320
Domicilio social: Travessera de les Corts 356, Local 2, 08029 Barcelona, España
Registro Mercantil: Registro Mercantil de Barcelona, Sección 8, Hoja B-509004, inscripción 4 (I/A 4); antecedentes: Tomo 46087, Folio 53
Email legal y privacidad: legal@hostelella.com
HOSTELELLA no ha designado formalmente un Delegado de Protección de Datos cuando no resulte obligatorio conforme al artículo 37 RGPD y al artículo 34 LOPDGDD. Si en el futuro fuera obligatorio o se designara voluntariamente, se publicará el contacto correspondiente y se notificará a la AEPD cuando proceda.
2. Alcance, destinatarios y naturaleza B2B
HOSTELELLA es una plataforma digital profesional (SaaS y, en su caso, funcionalidades de marketplace e interacciones entre empresas) destinada exclusivamente a uso empresarial y comercial (B2B), que ofrece herramientas de gestión operativa, tratamiento de documentos, gestión de equipos y turnos, y asistencia analítica.
El Servicio no está destinado a uso personal, doméstico o de consumidores. Los usuarios actúan en un contexto profesional o empresarial. Cuando un usuario contrata, configura un negocio o acepta condiciones en nombre de una empresa, debe contar con autorización suficiente para ello.
3. Exclusión de menores como usuarios
El acceso y uso del Servicio como usuario está reservado a adultos. Los usuarios deben tener al menos 18 años. HOSTELELLA no recopila ni trata deliberadamente datos personales de menores que actúen como usuarios.
Aclaración importante: la restricción de 18 años se refiere a quien usa la plataforma. En cambio, los datos de personas gestionadas por el Cliente empresarial (p. ej., empleados incluidos en la planificación de turnos) pueden, en su caso, referirse a personas trabajadoras menores de edad legalmente contratadas. En tal supuesto, el Cliente actúa como Responsable y es el único responsable de la legalidad de la contratación de menores y del cumplimiento de las normas laborales de protección de menores (jornada, descansos, trabajo nocturno, etc.). Cualquier acceso o uso de la plataforma por un menor es no autorizado y contrario al alcance previsto del Servicio.
4. Tipos de interesados
- Usuarios finales de clientes empresariales (dueños, administradores, managers y empleados).
- Personas trabajadoras del Cliente cuyos datos se gestionan en el Servicio (p. ej., para turnos, equipo y planificación), incluidas, en su caso, personas menores legalmente contratadas.
- Personas que solicitan información, diagnóstico, soporte o contacto comercial desde la web.
- Contactos profesionales de proveedores, distribuidores o partners (si aplica).
- Representantes legales y personas de contacto de clientes (facturación/relación comercial).
5. Categorías de datos personales tratados
En función del uso del Servicio, pueden tratarse las siguientes categorías de datos:
- Datos identificativos y de contacto (p. ej., nombre, email, teléfono profesional).
- Datos de autenticación y cuenta (p. ej., identificadores de acceso, rol, pertenencia a negocio, invitaciones).
- Información empresarial y operativa introducida en el Servicio.
- Documentos y datos financieros, contables y comerciales (facturas, tickets, gastos, ventas, albaranes, documentos equivalentes).
- Datos laborales y de planificación de personal introducidos o configurados por el Cliente: horas y tipo de contrato, departamento o zona operativa, descanso mínimo, preferencias de franja, disponibilidad declarada, indicador de minoría de edad, turnos asignados, fichajes/asistencia y ausencias o tiempo libre (vacaciones, permisos, festivos, baja).
- Datos personales de empleados, proveedores o clientes incluidos en documentos cargados por clientes empresariales.
- Datos técnicos, de seguridad y de uso (p. ej., IP, logs, info de dispositivo/navegador, timestamps, eventos de seguridad).
- Datos derivados de comunicaciones (p. ej., incidencias, soporte, mensajes transaccionales, notificaciones, chat de equipo).
- Datos introducidos en formularios comerciales o de diagnóstico (p. ej., datos de contacto, negocio, necesidades y mensajes).
- Prompts, consultas, contenido enviado a funciones de IA y resultados generados cuando el usuario decide utilizar dichas funciones.
5.1 Datos que pueden revelar información sensible (ausencias)
La gestión de ausencias y tiempo libre puede incluir categorías como “baja”. Cuando una ausencia se asocia a una baja médica, dicha información puede revelar datos relativos a la salud (categoría especial del artículo 9 RGPD). En estos casos:
- El Cliente empresarial es el Responsable y debe disponer de base jurídica adecuada (típicamente el artículo 9.2.b RGPD, en relación con obligaciones laborales y de seguridad social) y aplicar las salvaguardas exigibles.
- HOSTELELLA aplica minimización: para la planificación de turnos solo es necesario conocer el periodo de no disponibilidad. El motivo o el tipo de ausencia no se transmite a los proveedores de IA.
- El Cliente debe evitar introducir más datos de salud de los estrictamente necesarios y no debe registrar diagnósticos ni detalles clínicos en campos de texto libre.
Salvo lo anterior, el Servicio no está diseñado para tratar categorías especiales del artículo 9 RGPD. El Cliente no debe cargarlas salvo que disponga de base jurídica adecuada, sea necesario y aplique salvaguardas suficientes.
6. Origen de los datos (fuentes)
- Datos facilitados por el usuario al crear la cuenta o completar su perfil.
- Datos facilitados por otros usuarios/administradores del mismo negocio (p. ej., invitaciones, asignación de roles, alta de usuarios, configuración laboral y de turnos del equipo).
- Datos incluidos en documentos y registros cargados por el cliente empresarial.
- Datos recogidos automáticamente por el uso del Servicio (técnicos, seguridad, analítica).
- Datos obtenidos de terceros cuando el cliente integra servicios externos o se usa un marketplace (si aplica), conforme a la normativa aplicable.
7. Distribución de roles (Responsable / Encargado / Corresponsable)
7.1 Cuando HOSTELELLA actúa como Responsable
HOSTELELLA actúa como Responsable del tratamiento respecto de los datos necesarios para operar el Servicio, tales como: administración de cuentas, autenticación, control de accesos, seguridad, prevención de fraude/abuso, soporte, comunicaciones del servicio y facturación (si procede).
7.2 Cuando HOSTELELLA actúa como Encargado
Cuando los clientes empresariales cargan documentos y registros de negocio o configuran datos de personal (incluida la gestión de turnos, equipo y ausencias) que contienen datos personales de empleados, clientes, proveedores u otros terceros, HOSTELELLA actúa como Encargado del tratamiento por cuenta del cliente empresarial, conforme al correspondiente Acuerdo de Encargo del Tratamiento (DPA) del artículo 28 RGPD.
En estos casos, el cliente empresarial permanece como Responsable del tratamiento y es el único responsable de: (i) informar a los interesados, (ii) disponer de base jurídica adecuada, (iii) atender derechos y (iv) cumplir obligaciones aplicables, incluidas las laborales (jornada, descansos, protección de menores e información a la representación legal de las personas trabajadoras).
7.3 Corresponsabilidad (si aplica)
En determinados flujos (p. ej., funcionalidades de marketplace, comunicaciones entre empresas o intercambio de pedidos/datos entre partes), HOSTELELLA y otras entidades pueden determinar conjuntamente fines y medios del tratamiento y actuar como corresponsables conforme al artículo 26 RGPD. En esos casos, se definirá el marco de responsabilidades aplicable y el punto de contacto para el ejercicio de derechos. La corresponsabilidad no se presume por defecto y solo aplicará cuando exista un acuerdo, configuración o flujo que lo justifique.
8. Finalidades del tratamiento
- Prestación, operación, mantenimiento, mejora y evolución del Servicio.
- Autenticación de usuarios, gestión de roles, permisos y accesos, y administración del negocio en la plataforma.
- Tratamiento, extracción y análisis de documentos (incluida OCR/IA) a solicitud expresa del usuario.
- Gestión de equipos, jornada y planificación de turnos, incluida la generación asistida por IA de propuestas de turnos a solicitud del Cliente, como herramienta de apoyo con revisión humana.
- Generación de informes, métricas, insights y recomendaciones operativas.
- Soporte al cliente y comunicaciones del servicio (incluidas alertas de seguridad y avisos transaccionales).
- Seguridad, prevención de fraude, detección de abuso, auditoría interna y respuesta a incidentes.
- Cumplimiento de obligaciones legales, fiscales, contables y de auditoría aplicables.
- Defensa frente a reclamaciones legales y protección de derechos e intereses legítimos.
9. Bases jurídicas
Tratamos datos personales en base a una o varias de las siguientes bases jurídicas:
- Ejecución de un contrato (art. 6.1.b RGPD): para prestar y operar el Servicio.
- Cumplimiento de una obligación legal (art. 6.1.c RGPD): para cumplir normativa aplicable (p. ej., fiscal/contable cuando proceda).
- Interés legítimo (art. 6.1.f RGPD): seguridad, prevención de fraude/abuso, mejora del Servicio, protección jurídica y continuidad del negocio.
- Consentimiento (art. 6.1.a RGPD): cuando sea exigible (p. ej., permisos del dispositivo, cookies no esenciales, comunicaciones comerciales si se implementan).
Respecto de los datos tratados por cuenta del Cliente (incluida la planificación de turnos y la gestión de equipo), la base jurídica frente a las personas trabajadoras la determina el Cliente como Responsable (típicamente la ejecución del contrato laboral, el cumplimiento de obligaciones laborales o un interés legítimo de organización del trabajo).
| Finalidad | Base jurídica principal | Notas |
|---|---|---|
| Cuenta, autenticación, roles y prestación del Servicio | Contrato o medidas precontractuales; interés legítimo en seguridad | Necesario para operar una cuenta profesional. |
| Documentos, OCR/IA, informes y datos de negocio cargados por el Cliente | Encargo del tratamiento por cuenta del Cliente; contrato | El Cliente decide la base jurídica frente a sus empleados, clientes, proveedores o terceros. |
| Gestión de equipo, jornada, turnos y ausencias (incl. generación asistida por IA) | Encargo del tratamiento por cuenta del Cliente; el Cliente determina la base laboral frente a sus trabajadores | Herramienta de apoyo con revisión humana; el Cliente conserva la decisión final. |
| Soporte, incidencias, avisos de seguridad y comunicaciones transaccionales | Contrato e interés legítimo | No son comunicaciones comerciales salvo que se indique expresamente. |
| Facturación, contabilidad, obligaciones fiscales y defensa jurídica | Obligación legal e interés legítimo | Se aplican plazos legales y bloqueo cuando proceda. |
| Analítica web no esencial | Consentimiento | Google Analytics solo se carga tras aceptación de analítica/cookies. |
| Marketing directo B2B | Consentimiento o interés legítimo cuando la ley lo permita | Siempre con mecanismo de baja. |
10. Permisos del dispositivo (App móvil)
Para ciertas funciones, la App puede solicitar permisos opcionales del dispositivo:
- Acceso a cámara / galería: para capturar o subir fotos y documentos (p. ej., facturas, tickets) para su análisis.
- Metadatos de adjuntos: las imágenes adjuntas se procesan antes de su subida para eliminar metadatos técnicos, incluidos EXIF/GPS, cuando el formato lo permite. Los documentos cargados por el Cliente (p. ej., PDF) pueden contener metadatos embebidos por el propio Cliente o por sus herramientas de creación; HOSTELELLA los trata como parte del contenido/documentación aportada para OCR, análisis y operativa, y no como datos de ubicación usados para mapas o proximidad.
- Acceso al micrófono: para funciones de voz/dictado (si se habilitan).
- Acceso a contactos: para invitar miembros del equipo o sugerir contactos (si se habilita).
- Acceso a ubicación: actualmente la App no solicita permiso de ubicación. Si en el futuro se habilitan funciones basadas en proximidad o mapas, se informará y solicitará consentimiento cuando corresponda.
Estos permisos se basan en tu consentimiento y pueden revocarse en cualquier momento desde los ajustes del dispositivo. La revocación puede limitar el uso de determinadas funciones, pero no impedir el uso básico del Servicio cuando sea posible.
11. Inteligencia Artificial y tratamientos automatizados
HOSTELELLA puede utilizar tratamientos automatizados e inteligencia artificial para extraer información de documentos, clasificar datos, asistir en consultas y generar propuestas de planificación de turnos y resolver el marco o convenio laboral aplicable a partir de la ubicación y el sector del negocio.
Estas funciones están diseñadas como herramientas de asistencia y productividad, no como sustituto de revisión humana ni como sistema destinado por defecto a adoptar decisiones laborales, fiscales, contables, crediticias, legales o de impacto significativo. Las propuestas de turnos generadas por IA requieren revisión y aprobación humana (por la persona con rol de manager o superior) antes de su publicación o aplicación; el Cliente y sus responsables conservan en todo momento la decisión final.
Sin decisiones exclusivamente automatizadas. HOSTELELLA no realiza decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre las personas o las afecten significativamente de modo similar, en el sentido del artículo 22 RGPD. La generación de turnos es un apoyo a la decisión sujeto a intervención humana.
Reglamento de Inteligencia Artificial (UE 2024/1689). Las funciones de IA se conciben como herramientas de apoyo. Cuando una funcionalidad se utilice en el ámbito laboral (p. ej., planificación de turnos), el Cliente actúa como responsable del despliegue (deployer) en su organización y debe garantizar el uso conforme a Derecho, la supervisión humana y la información a las personas afectadas. En particular, en España, el Cliente debe cumplir el derecho de la representación legal de las personas trabajadoras a ser informada de los parámetros, reglas e instrucciones de los algoritmos o sistemas de IA que incidan en las condiciones de trabajo (art. 64.4.d del Estatuto de los Trabajadores).
Para minimizar el tratamiento, antes de enviar información a proveedores de IA se aplican medidas como la pseudonimización (p. ej., el generador de turnos opera con iniciales y datos operativos, no con nombres completos) y la exclusión de datos no necesarios (p. ej., el motivo de las ausencias no se transmite). Los resultados pueden contener inexactitudes o limitaciones. El Servicio no está diseñado para identificación biométrica, puntuación social, evaluación emocional, selección de personal, evaluación disciplinaria automatizada ni otras finalidades prohibidas o de alto riesgo salvo contrato, evaluación y salvaguardas específicas. HOSTELELLA no utiliza Datos del Cliente para entrenar modelos propios o de terceros salvo autorización expresa, contrato específico o configuración clara del Cliente.
12. Cookies y tecnologías de seguimiento (web/PWA)
En la web y/o PWA, HOSTELELLA puede utilizar cookies, píxeles o tecnologías similares para:
- Esenciales: funcionamiento, seguridad, balanceo, autenticación y prevención de fraude.
- Analítica/medición: Google Analytics para comprender el uso agregado de la web pública y mejorar rendimiento y experiencia, solo con consentimiento previo.
- Preferencias: recordar configuraciones del usuario (si se habilita).
Las cookies no esenciales se utilizarán únicamente cuando exista consentimiento, conforme a ePrivacy y la normativa aplicable. La Política de Cookies específica complementa esta información y prevalece para la gestión granular de cookies.
13. Destinatarios, encargados y subencargados
No vendemos datos personales. Los datos pueden ser accesibles por proveedores seleccionados que actúan como encargados/subencargados bajo obligaciones contractuales de confidencialidad, seguridad y cumplimiento, incluyendo proveedores de:
- Infraestructura cloud, alojamiento y almacenamiento.
- Bases de datos y autenticación.
- Email y comunicaciones.
- Tecnologías de IA y tratamiento de documentos, incluyendo Azure OpenAI, Anthropic (modelos Claude) cuando se usan funciones de turnos/convenio o asistencia, y OpenAI cuando se configura como proveedor no-Azure.
- Herramientas de monitorización, analítica y seguridad, incluyendo Google Analytics cuando el usuario acepta la analítica web.
Cuando HOSTELELLA actúa como encargado, los subencargados se rigen por el DPA, el Anexo de Subencargados y los requisitos del artículo 28 RGPD. La lista actualizada de subencargados se publica en el Anexo de Subencargados.
14. Autoridades y defensa de derechos
Podremos comunicar datos a autoridades competentes cuando exista una obligación legal o requerimiento legítimo, y/o para la defensa de derechos, prevención de fraude, seguridad o respuesta a reclamaciones, conforme al RGPD.
15. Reestructuraciones corporativas
En caso de fusión, adquisición, reorganización, venta de activos o procedimientos equivalentes, los datos podrán ser comunicados a terceros en la medida necesaria y proporcional, con garantías adecuadas.
16. Transferencias internacionales
Cuando se realicen transferencias internacionales de datos fuera del Espacio Económico Europeo, aplicamos garantías adecuadas, incluyendo decisiones de adecuación, Cláusulas Contractuales Tipo (SCC), el EU-US Data Privacy Framework cuando sea aplicable y medidas complementarias, conforme a los artículos 44–49 RGPD. Determinados proveedores de IA y comunicaciones están ubicados en Estados Unidos; en tales casos se aplican los mecanismos anteriores y la minimización descrita en esta Política.
En determinados casos, puede existir el riesgo de acceso por autoridades de terceros países. En esos supuestos, aplicaremos medidas complementarias cuando proceda y, cuando sea necesario, se informará y/o recabará consentimiento conforme a la normativa aplicable.
17. Conservación de datos
Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades descritas en esta Política y por los plazos exigidos por obligaciones legales, fiscales, contables, de auditoría y seguridad. Posteriormente, se eliminarán o anonimizarán, salvo obligación de conservación o necesidad para defensa de reclamaciones.
La conservación se detalla en la Política de Retención. Cuando HOSTELELLA actúa como encargado, la conservación se rige por el DPA e instrucciones del cliente, sin perjuicio de obligaciones legales.
18. Medidas de seguridad
HOSTELELLA aplica medidas técnicas y organizativas apropiadas (art. 32 RGPD) para garantizar un nivel de seguridad adecuado al riesgo. La Política de Seguridad describe las medidas principales, incluyendo control de acceso, mínimo privilegio, cifrado cuando proceda, registro de actividad, gestión de incidencias y continuidad del servicio.
No obstante, ningún sistema puede garantizar seguridad absoluta. Los usuarios son responsables de mantener el acceso seguro a sus cuentas y dispositivos.
19. Brechas de datos personales
En caso de brecha de datos personales, HOSTELELLA seguirá procedimientos internos para evaluar el riesgo y, cuando corresponda, notificará a la autoridad de control competente y/o a las personas afectadas conforme a los artículos 33 y 34 RGPD.
Cuando HOSTELELLA actúa como encargado, las notificaciones al responsable se gestionarán conforme al DPA.
20. Derechos de las personas interesadas
Las personas interesadas pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, así como retirar el consentimiento cuando proceda, contactando con: legal@hostelella.com.
Podremos solicitar información razonable para verificar identidad o representación. Responderemos en el plazo de un mes desde la recepción de la solicitud; dicho plazo podrá prorrogarse hasta dos meses adicionales cuando sea necesario por complejidad o número de solicitudes, informando al solicitante conforme al RGPD.
Si la solicitud se refiere a datos tratados por HOSTELELLA como encargado por cuenta de un cliente empresarial, podremos derivar al solicitante al responsable correspondiente, que es quien debe atender la solicitud.
21. Reclamaciones
También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
22. Comunicaciones
Podremos enviar comunicaciones necesarias para la operativa del Servicio (p. ej., alertas de seguridad, notificaciones transaccionales, avisos de cuenta). Las comunicaciones comerciales, si se implementan, se enviarán únicamente conforme a la normativa aplicable y, cuando sea exigible, con consentimiento (opt-in) y mecanismo de baja (opt-out).
23. Enlaces a terceros
La plataforma puede contener enlaces a servicios de terceros (p. ej., mapas, integraciones). HOSTELELLA no es responsable de las prácticas de privacidad de dichos terceros. Se recomienda revisar sus políticas correspondientes.
24. Cambios en esta Política
Esta Política de Privacidad podrá actualizarse para reflejar cambios legales, regulatorios u operativos. La versión vigente estará disponible dentro del Servicio y será aplicable desde su fecha de publicación.
25. Limitación de responsabilidad (Privacidad)
Nada en esta Política limita los derechos imperativos previstos por la normativa de protección de datos. En la máxima medida permitida por la ley, HOSTELELLA no será responsable de daños derivados de: (i) uso indebido del Servicio, (ii) cargas ilícitas de datos por parte de clientes/usuarios, o (iii) acciones realizadas únicamente con base en resultados informativos, incluidas propuestas de IA aplicadas sin la revisión humana exigida.